E安全1月5日讯
联网汽车安全问题又一次爆发!两名研究人员披露,上百款GPS和定位跟踪服务因使用简单易猜的默认密码(123456)和开放式API接口,导致其位置跟踪设备记录的信息存在暴露风险。除此之外,GPS和定位跟踪服务可能受到不安全的直接对象引用(IDOR)等漏洞的影响,将允许未经授权的第三方存取存放于服务中的资料,研究人员将这些漏洞统称为“Trackmageddon”。
这些安全问题可能暴露的信息包括:GPS坐标、电话号码、设备数据(IMEI、序列号、MAC地址等)、自定义分配名称,录音和图像以及其他个人数据。 这些GPS跟踪服务是从启用GPS的智能设备中收集地理位置数据的基本数据库,例如宠物追踪器、汽车追踪器、儿童跟踪器等设备。这些服务以设备为单位收集数据,并存储在数据库中。产品制造商将这些服务作为其智能设备的附带解决方案。
研究人员不确定他们发现了所有的脆弱域名,因为可能还有其他网站暴露数据。 这两名研究人员2017年11月就开始不断尝试与受影响的定位跟踪服务提供商取得联系,但收效甚微,只有4家公司修复漏洞。许多定位跟踪服务未在网站预留联系信息,不排除是中间商的可能性,所以问题或更加复杂,这增加了私下披露漏洞的难度。 研究人员举例称,涉及图像和录音时,查看受影响服务网站上的开放目录,信息就会曝光。鉴于这类数据关乎到用户的敏感信息,研究人员选择公开披露。 第一个做出回应并快速解决问题的是中间商
One2Track。 此后ThinkRace公司——GPS追踪设备的最大供应商之一/位置跟踪在线服务和软件的原始开发者——最终同意在公开信息发布前几个小时,修复了四个域名。 ThinkRace为一专门生产以安全及健身为导向的追踪产品,从个人用的GPS追踪器、GPS手表、GPS卡、宠物追踪器、单车追踪器、汽车追踪器到健身手环等,也替全球逾30个国家的企业、电信业者或政府提供代工服务。 以下4个服务已修复漏洞:
https://www. (2017年11月27日修复) http:// ((2017年11月27日修复) http://www. ((2017年11月27日修复)
http://tr. (2017年12月18日修复,子域名已移除)
多个在线服务不再受研究人员的PoC代码影响,但由于研究人员未收到厂商的修复通知,因此结果无法确定。 提供商声称将在2018年1月2日16:00修复漏洞: http://manage. (partially fixed between 2017-12-15 and 2017-12-22, only API access restricted)
http://grapi. (partially fixed on 2018-01-02, API access restricted)
http://
http://www. http://love.
未修复的在线服务如下:http://www.
http://m.
http://www.
http://www.
http://www.
http://www.
http://www.
http://
http://www.
http://greatwill.
http://www.
http://car.
http://carm.
http://watch.
http://www.
http://www.
http://www.
http://binding.
http://chile.
http://portal.
http://www.
http://www.
http://www.
http://www.
http://www.
http://login.
http://www.
http://
http://www.
http://tracker.
http://www.
http://
http://www.
http://www.
http://www.
http://
http://www.
http://www.
http://www.
http://www.
http://www.
http://www.
http://
http://
http://www.
http://www.
http://www.
http://www.
http://
http://gps.
http://gps.
http://
http://
http://www.
http://www.
http://www.
http://www.
http://www.
http://2.
http://
http://www.
http://www.
http://vip.
http://www.
http://www.
http:// http://gps.
http://www.
http://www.
http://en. http://en.
http://
http://en2.
http://ry.
http://www.
http://classic.
http://www.
http://
http://
研究人员建议用户修改密码,尽可能多地从设备和定位跟踪服务删除数据。为了避免进一步泄露数据,用户还可选择停止使用受影响的设备。
注:本文由E安全编译报道,转载请注明原文地址
https://www./news/729077847.shtml
|